lookup - Amazon CloudWatch Logs
Crear y administrar tablas de consultaSintaxis de consulta para la búsqueda

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

lookup

Se utiliza lookup para enriquecer los resultados de la consulta con datos de referencia de una tabla de consulta. Una tabla de consulta contiene datos CSV que subes a Amazon CloudWatch Logs. Cuando se ejecuta una consulta, el lookup comando compara un campo del registro de eventos con un campo de la tabla de consulta y agrega los campos de salida especificados a los resultados.

Utilice tablas de consulta para escenarios de enriquecimiento de datos, como mapear los detalles de un usuario IDs a otro, los códigos de producto a la información del producto o los códigos de error a las descripciones de los errores.

Crear y administrar tablas de consulta

Antes de poder utilizar el lookup comando en una consulta, debe crear una tabla de consulta. Puede crear y gestionar tablas de búsqueda desde la CloudWatch consola o mediante la API de Amazon CloudWatch Logs.

Para crear una tabla de consulta (consola)

  1. Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Configuración y, a continuación, elija la pestaña Registros.

  3. Desplázate hasta Tablas de búsqueda y selecciona Administrar.

  4. Seleccione Crear tabla de consulta.

  5. Introduzca un nombre para la tabla de consulta. El nombre solo puede contener caracteres alfanuméricos, guiones y guiones bajos.

  6. (Opcional) Introduzca una descripción.

  7. Cargue un archivo CSV. El archivo debe incluir una fila de encabezado con los nombres de las columnas, utilizar la codificación UTF-8 y no superar los 10 MB.

  8. (Opcional) Especifique una AWS KMS clave para cifrar los datos de la tabla.

  9. Seleccione Crear.

Después de crear una tabla de consulta, puede verla en el editor de consultas de CloudWatch Logs Insights. Seleccione la pestaña Tablas de búsqueda para buscar las tablas disponibles y sus campos.

Para actualizar una tabla de consulta, selecciónela y elija Acciones, Actualizar. Cargue un nuevo archivo CSV para reemplazar todo el contenido existente. Para eliminar una tabla de consulta, selecciona Acciones, Eliminar.

nota

Puede crear hasta 100 tablas de búsqueda por cuenta y por cuenta Región de AWS. Los archivos CSV pueden tener un tamaño máximo de 10 MB. También puedes gestionar las tablas de búsqueda mediante la API de Amazon CloudWatch Logs. Para obtener más información, consulta CreateLookupTablela referencia de la API CloudWatch de Amazon Logs.

Sintaxis de consulta para la búsqueda

Estructura de comandos

A continuación se muestra el formato de este comando.

lookup table lookup-field as log-field [,...] output-mode output-field[,...]

El comando utiliza los siguientes argumentos:

  • table— El nombre de la tabla de consulta que se va a utilizar.

  • lookup-field— El campo de la tabla de consulta con el que se va a comparar.

  • log-field— El campo del registro de eventos que debe coincidir. La coincidencia es exacta y distingue mayúsculas de minúsculas.

  • output-mode— Especifique si OUTPUT desea añadir los campos de salida a los resultados. Si ya existe un campo con el mismo nombre en el registro de eventos, se sobrescribe.

  • output-field— Uno o más campos de la tabla de consulta para añadirlos a los resultados.

Ejemplo: enriquece los eventos del registro con los detalles del usuario

Supongamos que tiene un grupo de registros con eventos que contienen un id campo y una tabla de consulta user_data con las columnas idname,email, ydepartment. La siguiente consulta enriquece cada evento de registro con el nombre, el correo electrónico y el departamento del usuario de la tabla de búsqueda.

fields action, status, name, email, department
| lookup user_data id OUTPUT name, email, department
Ejemplo: utilice la búsqueda con agregación

Puede utilizar los campos de salida de la búsqueda con funciones de agregación. La siguiente consulta enriquece los eventos del registro con los detalles del usuario y, a continuación, cuenta los eventos agrupados por dirección de correo electrónico.

fields user_id, action, username, email, department
| lookup user_data user_id OUTPUT username, email, department
| stats count(*) by email
Ejemplo: utilice la búsqueda con un filtro

Puede filtrar los resultados en función de los campos devueltos por la búsqueda. La siguiente consulta enriquece el registro de eventos y, a continuación, filtra para mostrar solo los eventos de un departamento específico.

fields user_id, action
| lookup user_data user_id OUTPUT username, email, department
| filter department = "Engineering"